Sekoia araştırmacıları, kötü amaçlı sahte tarayıcı güncellemeleri göndermek için ele geçirilen WordPress sitelerinden yararlanan yakın zamanda belgelenmiş bir tehdit olan ClearFake’in, muhtemelen SocGholish “sahte tarayıcı güncellemeleri yoluyla kötü amaçlı yazılım dağıtımı” kampanyalarının arkasındaki tehdit grubu tarafından işletildiği sonucuna vardı.
ClearFake Hakkında
ClearFake, araştırmacı Randy McEoin’in Ağustos 2023’te ana hatlarını çizdiği bir kötü amaçlı yazılım dağıtım kampanyasına verdiği addır. “Bu ad, Javascript’in çoğunluğunun gizlenmeden kullanıldığına bir referanstır” diye açıkladı.
ClearFake’in arkasındaki tehdit aktörü, WordPress sitelerinin güvenliğini ihlal ediyor ve bu sitelere, saldırganın sahip olduğu bir alan adından veya 28 Eylül’den bu yana Binance Smart Chain’den talep edilen bir akıllı sözleşmenin sonuç değerinden başka bir JavaScript yükü indiren JavaScript’i enjekte ediyor.
Daha sonra indirilen veriler, sahte güncelleme arayüzünü (temel sayfayı gizleyen) barındırmak, bu arayüzü ve sahte güncelleme içeriğini ve HTML sayfasını indirmek için bir iframe öğesi oluşturur.
Güvenliği ihlal edilen sitenin ziyaretçisine sonuçta Chrome, Edge ve Firefox için sahte bir güncelleme sayfası gösteriliyor ve bu sayfanın içeriğini görüntülemek için tarayıcılarını güncellemeleri gerektiğini iddia ediyor.
Chrome için ClearFake sahte güncelleme sayfası (Kaynak: Sekoia)
Proofpoint araştırmacılarına göre sahte güncelleme sayfaları, kullanıcıların tarayıcısının ayarladığı dile bağlı olarak farklı dillerde (İngilizce, Fransızca, Almanca, İspanyolca ve Portekizce) sunuluyor.
Bu hileye kanan ve indirmeyi (Dropbox’tan) başlatan kullanıcılar meşru bir tarayıcı yükleyicisine sahip olacak, aynı zamanda modüler HijackLoader veya benzer IDAT yükleyici gibi kötü amaçlı yazılımlara da sahip olacaklar.
Sahte güncellemeler yayınlayan diğer oyuncular
“[HijackLoader] kod enjeksiyonu, sistem çağrılarının kullanımı, Windows API karması ve Cennetin kapısı dahil olmak üzere çeşitli kaçınma teknikleri uygular. Sekoia araştırmacıları, son aylarda HijackLoader’ın aralarında Danabot, Lumma, Raccoon, Redline, Remcos, SystemBC ve Vidar’ın da bulunduğu çok sayıda ticari amaçlı kötü amaçlı yazılım yaydığını belirtti.
“ClearFake operatörleri, ‘sahte güncellemeler’ cazibesini sulama deliği tekniğine bağlayarak geniş bir kullanıcı yelpazesini hedefliyor ve etkili, ölçeklenebilir kötü amaçlı yazılım dağıtım kampanyaları yürütüyor.”
Proofpoint, ClearFake etkinliğini bilinen bir aktörle ilişkilendirmese de Sekoia araştırmacıları, bunun SocGholish’in arkasındakiyle aynı olabileceğine inanıyor: “ClearFake operatörleri tarafından kullanılan taktikler, teknikler ve prosedürler, SocGholish operatörlerininkilerle örtüşüyor (TA569 olarak takip ediliyor), özellikle sulama deliklerinin kullanımı, ‘sahte güncellemeler’ cazibesi, Keitaro trafik dağıtım sistemi, Dropbox dosya barındırma hizmeti ve dosya adının kiril karakterlerle maskelenmesi.
Bu doğru olsun ya da olmasın, aynı “sahte güncellemeler” yaklaşımını benimseyen başka potansiyel oyuncular da var. Proofpoint ayrıca RogueRaticate/FakeSG ve ZPHP/SmartApeSG kampanyalarıyla ilgili faaliyetleri de özetledi.
“SocGholish ve TA569, sahte tarayıcı güncellemelerini görüntülemek üzere savunmasız web sitelerini tehlikeye atmanın kötü amaçlı yazılım dağıtımı için geçerli bir yöntem olduğunu gösterdi ve yeni aktörler TA569’dan ders aldı ve bu tuzağı kendi yöntemleriyle benimsemeye başladı. Bu taklitçiler şu anda bilgi hırsızları ve RAT’lar kullanıyor olabilir, ancak kolaylıkla fidye yazılımı için ilk erişim komisyoncusu haline gelebilirler” diyorlar.
Güvenlik ekipleri, kuruluşlarını korumak için kullanıcı eğitimine, veri noktası korumasına ve ağ tespitlerine güvenmelidir.
“Infosec.exchange hesabı @monitorsg, yükler ve altyapı değişiklikleriyle ilgili en son ayrıntıların takip edilmesi için yararlı bir kamu kaynağıdır. Ortaya Çıkan Tehditler Kural Seti, mevcut tehditlerin çoğu için kullanılabilir alan kuralları içeriyor ve tüm sahte tarayıcı güncelleme kampanyalarını engellemek için düzenli olarak güncelleniyor ve yeni kurallar yayınlıyor.”